AWS Umgebung

  4 Minuten Lesezeit  

In diesem Kapitel wird beschrieben, was in der AWS Identity and Access Management vorzubereiten ist, um eine Inventarisierung mit Docusnap durchführen zu können. Innerhalb des Inventarisierungsassistenten werden die folgenden Informationen benötigt:

  • Zugriffsschlüssel-ID
  • Geheimer Zugriffsschlüssel

Für die folgenden Konfigurationsschritte wird eine Person in IAM mit ausreichenden Berechtigungen benötigt. Diese muss mindestens die folgenden Aktionen durchführen dürfen:

  • Erstellen von Richtlinien
  • Erstellen einer Person sowie Vergabe der erstellten Richtlinien

Grundlegende Berechtigungen

Für eine erfolgreiche Inventarisierung benötigt die scannende Person Berechtigungen in den Bereichen IAM und Organizations. Diese sind bereits in den AWS-verwalteten Richtlinien IAMReadOnlyAccess und AWSOrganizationsReadOnlyAccess enthalten und können direkt zugewiesen werden.

Anstelle der verwalteten Richtlinien können auch eigene Richtlinien für IAM und Organizations erstellt werden. In diesem Fall werden mindestens die folgenden Berechtigungen benötigt:

IAM-Berechtigungen:

  • iam:GenerateCredentialReport
  • iam:GenerateServiceLastAccessedDetails
  • iam:Get*
  • iam:List*
  • iam:SimulateCustomPolicy
  • iam:SimulatePrincipalPolicy

Organizations-Berechtigung:

  • organizations:DescribeAccount

Richtlinien für AWS Services

Für die Inventarisierung mit Docusnap werden Leseberechtigungen auf die jeweiligen AWS Services benötigt. Für die meisten Services stehen AWS-verwaltete ReadOnlyAccess-Richtlinien zur Verfügung, die der Person direkt zugewiesen werden können:

  • AmazonEC2ReadOnlyAccess
  • AmazonRDSReadOnlyAccess
  • AmazonS3ReadOnlyAccess
  • AWSLambda_ReadOnlyAccess
  • AmazonSQSReadOnlyAccess

Sollen stattdessen granularere Berechtigungen vergeben werden, oder ist für einen Service keine ReadOnlyAccess-Richtlinie vorhanden (z.B. Batch), muss eine eigene Richtlinie erstellt werden. Dafür wird unter Services der Punkt IAM ausgewählt.

Docusnap AWS Umgebung Richtlinie konfigurieren

Anschließend kann unter Richtlinien durch Klick auf die Schaltfläche Richtlinien erstellen eine neue Richtlinie erstellt werden.

Docusnap AWS Umgebung Richtlinie erstellen

Über den visuellen Editor werden die Bereiche Service, Aktionen und Ressourcen definiert. Die zulässigen Aktionen sollten auf die Zugriffsebene Liste sowie Lesen beschränkt werden. Bei Ressourcen wird empfohlen, alle Ressourcen des jeweiligen Services zu berechtigen. Bei Services mit vielen Aktionen kann es notwendig sein, auf den JSON-Editor auszuweichen und Wildcards zu verwenden, da der visuelle Editor die Zeichenbeschränkung für Richtlinien überschreiten kann.

Docusnap AWS Umgebung Richtlinie prüfen

Für jede eigene Richtlinie wird ein eindeutiger Name vergeben (z.B. Docusnap_Batch_Inventory) sowie eine optionale Beschreibung. Über Richtlinie erstellen wird die Konfiguration abgeschlossen.

Docusnap AWS Umgebung Richtlinie prüfen Name

Person konfigurieren

Die AWS-verwalteten ReadOnlyAccess-Richtlinien sowie die gegebenenfalls eigens erstellten Richtlinien werden nun einer Person zugewiesen. Dafür wird in Services – IAM der Punkt Personen ausgewählt.

Docusnap AWS Umgebung Person konfigurieren

Person anlegen

Über Person hinzufügen kann eine neue Person erstellt werden. Als Personenname sollte ein eindeutiger Name gewählt werden (z.B. DocusnapAWSInventory). Die Option Gewähren des Benutzerzugriffs auf die AWS-Managementkonsole wird nicht benötigt und sollte deaktiviert bleiben. Über die Schaltfläche Weiter gelangt man zum nächsten Schritt.

Docusnap AWS Umgebung Person anlegen

Berechtigungen festlegen

Hier bieten sich zwei verschiedene Möglichkeiten, die Person zur Inventarisierung zu berechtigen.

  • Person zur Gruppe hinzufügen
    Diese Option kann gewählt werden, wenn die erstellten Richtlinien an eine Gruppe vergeben werden sollen.
  • Direktes Anfügen von Richtlinien
    Diese Option wird im Folgenden beschrieben, um die Richtlinien direkt an eine Person zu binden.

Unter Direktes Anfügen von Richtlinien werden der Person die folgenden Richtlinien zugewiesen:

Zunächst die beiden AWS-verwalteten Richtlinien für die grundlegenden Berechtigungen: IAMReadOnlyAccess und AWSOrganizationsReadOnlyAccess.

Anschließend werden die AWS-verwalteten ReadOnlyAccess-Richtlinien für die zu inventarisierenden Services (AmazonEC2ReadOnlyAccess, AmazonRDSReadOnlyAccess, AmazonS3ReadOnlyAccess, AWSLambda_ReadOnlyAccess, AmazonSQSReadOnlyAccess) sowie gegebenenfalls eigens erstellte Richtlinien (z.B. Docusnap_Batch_Inventory) zugewiesen.

Docusnap AWS Umgebung Berechtigungen festlegen

Die eingegebenen Informationen können abschließend nochmalig geprüft werden. Durch Klick auf die Schaltfläche Person erstellen wird die Konfiguration abgeschlossen.

Docusnap AWS Umgebung Erstellung abschließen

Schlüssel für die Inventarisierung erhalten

Nach dem Erstellen der Person müssen die Zugriffsschlüssel für den programmgesteuerten Zugriff erstellt werden. Über die Schaltfläche Person anzeigen gelangt man direkt zur Übersichtsseite der erstellten Person. Alternativ ist die Übersichtsseite jederzeit über IAM → Personen und Auswahl der entsprechenden Person erreichbar.

Docusnap AWS Vorbereitung Person Zugriffschlüssel erstellen

Dort kann über den Link Zugriffsschlüssel erstellen in der Übersicht ein neuer Schlüssel angelegt werden. Alternativ findet sich dieser auch im Tab Sicherheitsanmeldeinformationen im Abschnitt Zugriffsschlüssel.

Im nächsten Schritt wird der Anwendungsfall für den Zugriffsschlüssel abgefragt. Hier wird Sonstiges ausgewählt, da der Schlüssel für die Inventarisierung durch Docusnap verwendet wird.

Docusnap AWS Vorbereitung Person CSV